可能我的问题很愚蠢,但它让我发疯,你看我有这个应用程序,它的会话在注销后没有到期,即使我已经使用了Session.Abandon(),Session.Clear()和Session.Removeall ()。我一直在互联网上搜索,但到目前为止没有运气,我真的希望我能得到一些帮助。假设我有以下用户X,任何人都可以使用X的帐户登录:
1-使用X的用户名和密码登录。 2-参加会议“.ASPXFORMSAUTH”信息。 3-从X的帐户退出 4-例如,使用fire fox“add cookie function”添加会话“.ASPXFORMSAUTH”及其值。 5-键入URL并单击Enter 页面刚打开,它真的让我疯狂!
提前致谢
答案 0 :(得分:0)
您还需要调用FormsAuthentication.SignOut()
答案 1 :(得分:-1)
在这种情况下,Session中有一个额外的标志(如“ACtive”),在注销时可以设置为false。基于此,您可以重新用户登录或任何其他您想要的常规页面..
我不确定是否有定义的方法来处理这个问题,但我会像我说的那样做。
用户已使用FormsAuthentication.Signout()登出并尝试使用相同的cookie(他以某种方式获取访问权限)来破解系统以访问网站的经过身份验证的部分的情况。 在这种情况下,Microsoft的建议还建议使用持久性机制来记录/跟踪用户注销,并使用该信息将其重定向到登录页面(并再次清除cookie)。
Reference:阅读备注栏目中的项目符号第3点